La vulnerabilità conta per piattaforma

3

Mi è stato chiesto di compilare un elenco del numero di vulnerabilità o exploit Web pubblicati raggruppati per piattaforma.

Con la comprensione e l'avvertenza che i numeri sono solo statistiche, non dovrebbero essere usati per prevedere il futuro, sono totalmente ingiusti, peggio di bugie e maledette bugie, e probabilmente uccideranno il tuo gatto, ecc. ecc. : Questi numeri esistono ovunque? Come può essere compilato un elenco di questo tipo?

My attempt
I figured the CVE database was a good place to start; you can download their entire database in CSV format and then just grep it. Which seemed reasonable enough, except it appears that there isn't enough data in each row.

For example, of the 59 CVEs this year that mention "Wordpress", there are 14 that don't contain the letters "php". So clearly grepping for "php" won't net the right result. Presumably neither will any of the others.

I dati non devono essere perfetti, devono solo essere ragionevolmente motivati (cioè non estratti dal proprio derriere ), e soprattutto la misura deve essere neutra (cioè, non dovrebbe ovviamente favoriscono o penalizzano qualsiasi piattaforma data), tranne nel caso in cui una piattaforma sia naturalmente più popolare di un'altra.

I numeri recenti (l'anno scorso, quest'anno, qualunque) sarebbero i migliori, ma qualunque cosa esista è ancora meglio.

    
posta tylerl 21.09.2012 - 10:21
fonte

4 risposte

3

Conosco due ricerche nella letteratura di ricerca che studiano l'incidenza delle vulnerabilità su piattaforme diverse:

  • Un'analisi empirica dei meccanismi di convalida degli input in Applicazioni Web e lingue . Theodoor Scholte, Davide Balzarotti, William Robertson, Engin Kirda. SAC 2012.

    • Questo documento analizza oltre 7000 CVE che riportano le vulnerabilità di XSS e SQL injection in 79 applicazioni Web. Quindi, utilizza questi dati per stimare la prevalenza di diversi tipi di vulnerabilità di convalida dell'input in diversi linguaggi di programmazione Web.

      L'analisi del documento trova alcune differenze tra le lingue. Ad esempio, nel set di dati, il 50% delle applicazioni Web sono state create in PHP, ma l'80% delle vulnerabilità di SQL injection erano in applicazioni PHP, quindi il documento conclude che le applicazioni Web scritte in PHP potrebbero essere particolarmente a rischio per l'iniezione SQL. Al contrario, le applicazioni Web scritte in Java sembrano essere meno soggette alle vulnerabilità XSS e SQL injection. Vedi il documento per ulteriori discussioni.

  • Esplorazione della relazione tra strumenti di sviluppo di applicazioni Web e sicurezza . Matthew Finifter e David Wagner. WebApps 2011.

    • Questo documento analizza la relazione tra la scelta del linguaggio di programmazione e il framework di sviluppo web rispetto alla sicurezza, esaminando il codice di 9 team che hanno creato la stessa applicazione web (stesse specifiche, stesse funzionalità) in diverse lingue.

      Il documento non trova alcuna prova che la scelta del linguaggio di programmazione influenzi la sicurezza dell'applicazione risultante. L'esperimento trova evidenza che il livello di supporto per la sicurezza (in particolare il supporto automatico per la fuga, la disinfezione, la gestione delle sessioni, ecc.) È vantaggioso per la sicurezza. Conclude che, a causa delle dimensioni ridotte del campione, ulteriori esperimenti sarebbero utili per ottenere una comprensione più profonda degli effetti degli strumenti del programmatore sulla sicurezza Web.

risposta data 23.09.2012 - 20:10
fonte
1

Il database nazionale delle vulnerabilità è un buon riferimento per i dati statistici, ma non sono sicuro che abbiano un elenco per piattaforma, ma puoi verificarlo. link

    
risposta data 21.09.2012 - 13:58
fonte
1

Secunia ha nel proprio sito alcune informazioni statistiche sulle vulnerabilità divise per venditore e prodotto. Ad esempio in Windows XP Professional:

link

Raccolgono informazioni dal 2003. La pagina è composta principalmente da elementi grafici e in questo momento la maggior parte di essi viene mostrata.

    
risposta data 21.09.2012 - 15:43
fonte
0

Ho fatto qualcosa di simile per un cliente alcuni anni fa, e penso che la tua direzione di CVE sia decente.
Tuttavia, come hai visto, non è completamente semplice, né sarai mai in grado di ottenere statistiche accurate - spesso, la piattaforma non viene menzionata affatto.

Quello che devi fare è creare un elenco di termini comuni per ogni piattaforma a cui sei interessato, e poi accumularmente grep per tutti loro. Per esempio. per PHP è necessario php wordpress zend drupal joomla ecc.

Sì, dovrai crearlo in modo iterativo. No, non dovresti mai aspettarti di avere il set completo di statistiche, ma può darti un qualche tipo di immagine.
In ogni caso, i CVE non sono tutte le vulnerabilità conosciute in questi prodotti, per non parlare del fatto che le app o i siti specifici creati su queste piattaforme non colpiranno CVE neanche ...

    
risposta data 23.09.2012 - 18:29
fonte

Leggi altre domande sui tag